本篇文章給大家分享的是有關(guān)JIS-CTF_VulnUpload靶機攻略是什么，小編覺得挺實用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了滁州免費建站歡迎大家使用！

vulnhub 是我喜愛的游樂場之一，上面的每個靶機都是很酷的一個游戲。完整找出所有 flag 只是基本任務(wù)，實現(xiàn)提權(quán)才是終極目標。我并不追求最快奪旗，而是盡可能運用完整攻擊鏈入侵靶機，所以，這篇攻略中，或許某些內(nèi)容對奪旗無直接幫助，但在應(yīng)對真實目標時，你應(yīng)該考慮。

靶機 "JIS-CTF: VulnUpload" 含有 5 個 flag、初級難度，平均耗時 1.5 小時可完成攻擊。你可以從 https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/ 獲取 virtualbox 格式的鏡像，導(dǎo)入后立即可玩：

JIS 虛擬機為 DHCP，我得想法找出它的 IP。nmap 的 -sn 選項用于探測主機存活性：

很快，找到 4 個存活 IP。其中，56.1 為我主系統(tǒng) IP，56.2 為 DHCP 服務(wù)器，56.5 顯示 localhost-response 為本機（kali），所以，JIS 的 IP 為 192.168.56.6。

一、系統(tǒng)服務(wù)發(fā)現(xiàn)

拿到 IP 第一要務(wù)當然是分析服務(wù)。nmap 的 -O、-sV 兩個命令行參數(shù)可用于此：

可知，JIS 在 22 端口開啟了 SSH（OpenSSH 7.2p2）、80 端口開啟 HTTP（Apache httpd 2.4.18）等兩個服務(wù)。另外，操作系統(tǒng)為 ubuntu。這三個信息將成為下個階段的主要攻擊面。

二、系統(tǒng)漏洞分析

針對 SSH 服務(wù)，我習(xí)慣從弱口令和系統(tǒng)漏洞兩方面進行攻擊。弱口令方面，我用常見用戶名和常見密碼進行暴破，雖然幾率不大：

短時間跑不完，先放這兒，后續(xù)再看。

SSH 服務(wù)的系統(tǒng)漏洞查找方面，我推薦 searchsploit 工具。精確搜索 OpenSSH 7.2p2：

存在用戶名可枚舉漏洞，剛好，要能找到有效用戶名，將有助于暴破 SSH 口令。立即用 EXP 試試：

試過幾次，結(jié)果都不一樣，感覺這個 EXP 不可靠?；蛟S是搜索條件太苛刻，不帶版本號，直接搜索 openssh 看看有無其他漏洞：

其中，有兩個可考慮，依次為本地提權(quán)的漏洞、遠程命令執(zhí)行漏洞。哇，很誘人，不過很遺憾，都用不了。對前者而言，當前沒用任何據(jù)點（如 webshell），還談不上提權(quán)操作，當前只能先放放，后續(xù)可能用的上；對后者來說，利用條件非常嚴苛，攻擊者必須拿到 forwarded agent-socket 的控制權(quán)，而且目標必須 SSH 登錄攻擊者所控制 forwarded agent-socket 的那臺機器，才可能讓目標加載指定 *.so，實現(xiàn)遠程命令執(zhí)行。罷了，SSH 系統(tǒng)漏洞暫時就不深入了。

apache 服務(wù)看下有無可利用的漏洞：

先前服務(wù)探測時找到的準確版本為 apache httpd 2.4.18，那么只有一個漏洞內(nèi)存泄漏的漏洞，沒多大價值。

這個階段系統(tǒng)漏洞只能分析到這個程度，雖然知道發(fā)行套件為 ubuntu，但不知道具體版本、系統(tǒng)架構(gòu)，很難準確的找到可用的操作系統(tǒng)漏洞，所以，沒必要繼續(xù)在系統(tǒng)漏洞層面耗時，后續(xù)如果能拿到 webshell，提權(quán)時再來深入分析，現(xiàn)在移步 web 應(yīng)用層面。

三、web 內(nèi)容發(fā)現(xiàn)

訪問之前找到的 web 端口自動重定向到 http://192.168.56.6/login.php：

看了下 html 源碼，沒啥有價值的信息；枚舉用戶名也不能；或許可以暴破下弱口令，剛才的 SSH 暴破還沒完呢，web 登錄暴破還是先放一放，看看有無其他頁面。

大概 2015 年之前，掃 web 端口 – 找 web 后臺 – 弱口令登后臺 – 上傳一句話，是常見的高成功率的攻擊手法，其中，能否找到后臺地址，是成功的關(guān)鍵。換言之，我需要發(fā)現(xiàn)更多 web 內(nèi)容。具體而言，我希望找到更多文件、頁面、子目錄，最好能找到源碼打包的敏感文件、后臺運維的管理頁面、存放業(yè)務(wù)邏輯的子目錄，以拓展攻擊面。通常，我習(xí)慣結(jié)合枚舉和爬蟲兩種方式來發(fā)現(xiàn) web 內(nèi)容。

枚舉 web 內(nèi)容的工具很多，其實，你手上的 burp 內(nèi)置了強大的子目錄枚舉功能，但常被你忽略。訪問 http://192.168.56.6/，讓流量過 burp 后，立即展示出初始站點目錄結(jié)構(gòu)：

通過 engagement tools - discover content，啟用子目錄枚舉功能：

枚舉之前，借助 firefox 插件 wappalyzer 確認后端語言為 php：

簡單設(shè)置，讓 burp 只枚舉 php 類型的頁面，忽略 aspx、jsp 等等其他語言，以提高效率：

很快，枚舉出不少新頁面：

你看，比先前多了些頁面和目錄，如，logout.php、server-status/。逐一查看，沒啥有價值的內(nèi)容。

接下來，我用另一個工具 dirsearch 再次枚舉子目錄，與 burp 互補，獲得更多 web 內(nèi)容。高效和可配置是 dirsearch 的特色，同樣，用 --extension 選項設(shè)定只枚舉 php 類型的頁面，忽略 aspx、jsp 等等其他語言：

從輸出結(jié)果 out.txt 中查看 HTTP 應(yīng)答成功（200）的頁面有 5 個：

依次訪問這幾個頁面且讓流量過 burp，站點目錄結(jié)構(gòu)如下：

子目錄枚舉，大概就到這個程度，接下來，爬取站點。

爬站，還是借助 burp：

很快，爬取完畢，又新增不少頁面：

朋友，玩了這么久，連個 flag 的影子都沒看到？別急，這就來了。在 burp 的 site map 中搜索 flag 關(guān)鍵字，第一個匹配項是 http://192.168.56.6/admin_area/：

拿到第一個 flag{7412574125871236547895214}；另外還拿到一組賬號 admin/3v1l_H@ck3r，可能是 web 的登錄賬號、也可能是 SSH 的賬號，一會試試。搜索 flag 得到的第二個匹配項是 http://192.168.56.6/flag/：

得到第二個 flag{8734509128730458630012095}。

四、web 應(yīng)用漏洞分析

用 admin/3v1l_H@ck3r 嘗試登錄 http://192.168.56.6/login.php：

成功，有個文件上傳功能，檢查下是否存在任意文件上傳漏洞。

隨便上傳一個 php 的 webshell 試試：

icesword.php 上傳成功，存在任意文件上傳漏洞，但沒回顯上傳目錄。還記得先前 web 內(nèi)容發(fā)現(xiàn)時找到的 uploads/、uploaded_files/ 兩目錄么，嘗試訪問 http://192.168.56.6/uploads/icesword.php， 報錯，資源不存在，訪問 http://192.168.56.6/uploaded_files/icesword.php，沒報錯但頁面無內(nèi)容，沒事，至少清楚上傳目錄是 uploaded_files/。

我用 msfvenom 生成 MSF 的 php 反彈木馬 msf_private.php：

啟動 MSF 并監(jiān)聽，隨后訪問 http://192.168.56.6/uploaded_files/msf_private.php，立即獲得 meterpreter 會話：

簡單翻下文件：

flag.txt、hint.txt 引起我的注意。查看之，flag.txt 無訪問權(quán)限；hint.txt 中拿到第三個 flag{7645110034526579012345670}，以及一個提示信息，要想查看 flag.txt 先得找出賬號 technawi 的密碼：

接下來，我需要查找用戶 technawi 的密碼。我計劃從文件名和文件內(nèi)容兩方面入手查找與 technawi 相關(guān)的信息。

我用 meterpreter 內(nèi)置的 search 命令來查找文件名中含有關(guān)鍵字 technawi 的文件：

顯示未找到。奇怪，有 technawi 用戶，那肯定有 /home/technawi/，怎么會一個都找不到。進 shell 再確認下：

這才對嘛。所以，你看，meterpreter 內(nèi)置的 search 不可靠。逐一查看，沒發(fā)現(xiàn)有價值的內(nèi)容。

查找文件內(nèi)容中含有關(guān)鍵字 technawi 的文件：

逐一查看，在 /etc/MySQL/conf.d/credentials.txt 中找到第四個 flag{7845658974123568974185412}，以及一組賬號 technawi/3vilH@ksor：

五、登錄系統(tǒng)

用賬號 technawi/3vilH@ksor 成功登錄系統(tǒng)：

再次查看 flag.txt，拿到第五個 flag{5473215946785213456975249}：

六、提權(quán)

最開始我就說過，flag 并不是我玩靶機的唯一目標，提權(quán)也很有意思。剛要查看內(nèi)核版本準備對應(yīng) exp 時，朦朧記得在 technawi 的 home/ 目錄中，看過 .sudo_as_admin_successful 文件：

哇，運氣不錯，這說明 technawi 可以用自己的密碼切換為 root 用戶：

就這樣，完成所有 flag 搜集、成功提權(quán)！

以上就是JIS-CTF_VulnUpload靶機攻略是什么，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

分享名稱：JIS-CTF_VulnUpload靶機攻略是什么
本文網(wǎng)址：http://jinyejixie.com/article36/gpejpg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、網(wǎng)站收錄、網(wǎng)站改版、ChatGPT、網(wǎng)站設(shè)計公司、定制網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)